【病毒】從 Y 信箱收到的『一定要注意喔』的病毒



贊助商連結


頁 : [1] 2 3

windata
2008-09-23, 04:48 PM
自從換成 Trend 的合作後,第一次收到的病毒信就…

信件來源是不認識的人,但是有經過 Y 的認證吧
"此寄件人已經過 Domainkeys 核查"


並未偵測到病毒或受感染。 .exe, .com, .bat, .scr, .pif, .msi 檔案建議不要下載,請先確認檔案來源安全性。(網路安全說明)
檔案: 一定要注意喔.zip 下載夾帶檔案

說明一下附件的結構
※一定要注意喔 zip 包含一個 cmd
※一定要注意喔 cmd 其實是自解檔,包含 1.txt 21.sfx.exe(請小心,不要直接開啟

Setup=21.sfx.exe
Presetup=1.txt
TempMode
Silent=1
Overwrite=1
※1.txt 的內容就是說不要喝在車裡的礦泉水,會致癌
※21.sfx.exe 這裡面只有一個 21.exe ← 病毒本體…吧(在解這個檔的時候小雨傘一直叫,我放棄了

結論
偵測到的名稱 TR/Dropper.Gen [trojan]
手動用小雨傘掃毒的結果,如果不解壓縮,整包掃描,小雨傘可以偵測到
解壓縮到 21.sfx.exe 時就解不開了,個人猜測 21.exe 就是病毒本體了吧

以上!真的要注意喔~ 提醒您這封信箱面有病毒

贊助商連結


天氣預報
2008-09-23, 06:32 PM
下次可以用這個網站來分析看看行為
http://www.threatexpert.com/

上傳
http://www.threatexpert.com/submit.aspx
幾分鐘就會回信
不過有些格式不支援就是了

tvirus
2008-09-23, 07:40 PM
Yahoo病毒信難擋的原因之一是
那些都是大陸仔盜用台灣人帳號,透過線上Yahoo mail寄出
有看那些Mail header就知道..目前手頭上約140隻Yahoo木馬樣本,全部都從福建寄出.

ellery
2008-09-23, 09:21 PM
http://www.virustotal.com/zh-tw/analisis/e26207893c6105ea4093b55173ac4c03

Virustotal的分析報告.

天氣預報
2008-09-23, 09:30 PM
http://www.virustotal.com/zh-tw/analisis/e26207893c6105ea4093b55173ac4c03

Virustotal的分析報告.

台灣三大廠全被免殺
抓到的也只有報啟發

windata
2008-09-24, 12:03 AM
to 天氣預報
>分析看看行為
這個網站並不是很懂的怎麼操作,
>台灣三大廠全被免殺
說真的這句我看不懂 ...srO

to ellery
嗯…我也有上傳去看分析報告,下次會記得附上結果連結的
不過…大半都是看不懂,只知道有幾個紅字這樣

>tvirus
Y 信箱有提供看完整標頭的功能,不過…看不出端倪

天氣預報
2008-09-24, 12:09 AM
http://www.threatexpert.com/files/21.sfx.exe.html

haol
2008-09-25, 10:59 PM
F-Secure found Trojan-GameThief.Win32.Magania.adxw

tvirus
2008-09-25, 11:29 PM
to 天氣預報
>tvirus
Y 信箱有提供看完整標頭的功能,不過…看不出端倪
今天剛收到的,信件標題:你朋友買到東西!(已經透過POP3收下來,所以我列出的是從收信軟體看的標頭)
X-Apparently-To: xxxxxxxxxx@yahoo.com.tw via 203.188.201.6; Thu, 25 Sep 2008 02:07:03 +0800
X-YahooFilteredBulk: 203.188.201.81
X-Originating-IP: [203.188.201.81]
Authentication-Results: mta175.mail.tp2.yahoo.com from=yahoo.com.tw; domainkeys=pass (ok)
Received: from 203.188.201.81 (HELO web73501.mail.tp2.yahoo.com) (203.188.201.81)
by mta175.mail.tp2.yahoo.com with SMTP; Thu, 25 Sep 2008 02:07:03 +0800
Received: (qmail 17347 invoked by uid 60001); 24 Sep 2008 18:07:03 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com.tw;
h=X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID;
b=HY5oBUHCY8b97R148wcm4V5RfXx7eNxVPP5fU6LrqhQKunEh3C0PK66KLoFDQa4G1fIMspS0lFs3HsNyqtpkgici5A2jW79mKkZGb62bWvm13nxp2jxPlDXI4oc4YJh2oDlM3XfHyiOwybCcgbXWpnAC35IXSMPddF2rGyd7VKU=;
X-YMail-OSG: Cg4yaJkVM1kLCoN6SttodpkVyN7cgsEvAtKBgTyDLrWLgw8ueRQxO7TWBreen_KmUjRW5UPv6Qeu3EHfUKTzhgM7iernp9A8iyNP2IPTjXe3ikRQETEXv0J9zc51idEWXyaPdVs17tgZpZawP3S5NL35XIHGCLgpMhRpw8lQoaGGu3Usc7jQBkN1ba2C.g35GMsfGjisz2I8kGGFCMDPniFv.ej9Z_XoJr3pyEaVur1S6YLXVqBfZ7NH0YcKIr3HFbFVhIIcSUbvYg055kQvyUZr8aqahNQy0zZ.iLumITfzH4moyJmPVvLuLeoKTlHC
Received: from [59.58.233.74] by web73501.mail.tp2.yahoo.com via HTTP; Thu, 25 Sep 2008 02:07:02 CST
X-Mailer: YahooMailWebService/0.7.218.2
Date: Thu, 25 Sep 2008 02:07:02 +0800 (CST)
From: =?big5?B?xHiyebPT?= <aa29498342@yahoo.com.tw>
Subject: =?big5?B?p0GqQqTNtlKo7KpGpugh?=
To: tvegame@yahoo.com.tw
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-1523946902-1222279622=:16938"
Message-ID: <61121.16938.qm@web73501.mail.tp2.yahoo.com>


59.58.233.74 這IP的資料 (http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=59.58.233.74&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All)

通常都是看最後顯示的IP或非Yahoo網域的第一個
至於這發信Email是誰?不認識 :|||:

我是已經看到這類信件看到麻木了
送來只有幾個字的,又是夾檔案要我開的,99%是木馬(對我而言)

ben00460
2008-09-28, 05:48 PM
怎麼辦?我已經開啟類似的檔案
因為是熟人寄的,所以沒有警覺.....
KIS8沒反應,又剛好我更新版本後
就不能更新了,會跑出該記憶體能read
而且我現在打字會變慢,用的是自然8
但是用新注音就正常,連英打都會變鈍
我該怎麼辦= =,重灌KIS8嗎?
KIS現在抓得到嗎?